Supportnet / Forum / PC-Sonstiges
neuer Virus - Lovegate / Lovgate
Frage
[b]Alias-Namen:[/b] Worm/Lovegate, Win32.Lovgate.C, Supnot, I-Worm.Supnot, W32.HLLW.Lovgate.C@mm, W32/Lovgate.c@M, WORM_LOVGATE.C
"[b]Worm/Lovegate[/b]
Erstmals aufgetreten am: 24.02.2003
[b]Informationen[/b]
Name: Worm/Lovegate
Alias: Supnot, I-Worm.Supnot
Type: Internet Wurm, Backdoor
Größe: 84.992 bytes
Plattform: Microsoft Windows 9x/Me/NT/2000/XP
Schadensroutine:
Worm/Lovegate kopiert sich unter mehrere Dateinamen in den Windows System Ordner, verbreitet sich auf gesharte Laufwerke und verschickt sich per Email.
[b]Beschreibung[/b]
Bei Worm/Lovegate handelt es sich um einen Massenmailer. Er besitzt eine Dateigröße von 84.882 Bytes und ist mit dem Laufzeitpacker ASPack gepackt. Er verbreitet sich sowohl per Email, als auch über gesharte Laufwerke und hat eine Backdoor Komponente enthalten.
Findet Worm/Lovegate ein geshartes Netzlaufwerk, kopiert er sich auf dieses Laufwerk mit den folgenden Dateinamen:
billgt.exe, Card.EXE, docs.exe, fun.exe, hamster.exe, humor.exe, images.exe, joke.exe, midsong.exe, news_doc.exe, pics.exe, PsPGame.exe, s3msong.exe, searchURL.exe, SETUP.EXE, tamagotxi.exe
Nach dem Ausführen kopiert sich Worm/Lovegate in das Windows System Verzeichnis mit folgenden Dateinamen:
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\WinGate.exe
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\WinRpcsrc.exe
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\SysHelp.exe
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\WinPrc.exe
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\RpcSrv.exe
und erstellt folgende .DLL im Windows System Verzeichnis
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\1.DLL
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\ily.dll
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\reg.dll
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\Task.dll
C:\<%WINDOWS_DIR%>\<%SYSTEM_DIR%>\win32vxd.dll
Worm/Lovegate erstellt folgende Registry Einträge:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"syshelp"="C:\\WINDOWS\\SYSTEM\\syshelp.exe"
"WinGate initialize"="C:\\WINDOWS\\SYSTEM\\WinGate.exe -remoteshell"
"Module Call initialize"="RUNDLL32.EXE reg.dll ondll_reg"
und
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="winrpc.exe %1"
Mit dem letzteren Registry Eintrag wird der Wurm mit jedem Doppelklick auf eine .TXT Datei aufgerufen und ausgeführt.
Ebenfalls wird die Win.ini verändert:
Run=rpcsrv.exe
Die Backdoor Komponente des Worm/Lovegate speichert Keylogging Informationen und Passwörter in folgenden beiden Dateien ab:
win32pwd.sys
win32add.sys
und sendet diese Informationen an die beiden Emailadressen 'hello_dll@163.com' und 'hacker117@163.com'. Über den Port 10168 ist nun ein User, der das geeignete Client-Programm besitzt, in der Lage, verschieden Änderungen auf dem infizierten Rechner vorzunehmen."
[url=http://www.antivir.de/vireninfo/lovegate.htm]quelle[/url]
[url=http://www.trojaner-info.de/programme.shtml]kostenloses removertool[/url]
gruss, redschina
Antwort 1 von Joe_69
Thx 4 Info Redschina
mfg Joe
mfg Joe
Antwort 2 von Locke
hoch damit
Antwort 3 von Redschina
wieder nach oben...
Antwort 4 von toll
wie kommt das ding auf meinen rechner?
wer klickt schon auf anhangs.exe? (tausende dau's!!!, wann begreifen sie es endlich???)
schöner wäre es wieder mal darauf hinzuweisen, wie man solch würmer verhindert (kann man ja nicht oft genug tun), als nur plakativ irgendwelche schreckensmeldungen zukopieren.
keine unbekannten... dinger ausführen.
mails von unbekannten gnadenlos löschen...
security-patches einspielen...
o und oe richtig einstellen (layout/kein vorschaufenster...)
antivirsoftware regelmässig updaten...
...
...
wer klickt schon auf anhangs.exe? (tausende dau's!!!, wann begreifen sie es endlich???)
schöner wäre es wieder mal darauf hinzuweisen, wie man solch würmer verhindert (kann man ja nicht oft genug tun), als nur plakativ irgendwelche schreckensmeldungen zukopieren.
keine unbekannten... dinger ausführen.
mails von unbekannten gnadenlos löschen...
security-patches einspielen...
o und oe richtig einstellen (layout/kein vorschaufenster...)
antivirsoftware regelmässig updaten...
...
...
Antwort 5 von Redschina
hi toll,
na dann weise doch mal "so richtig" darauf hin - hast du zwar gerade gemacht, aber m.e. nicht "dau-gerecht" ;-)
ich bin nicht der lehrmeister der nation, dafür helfe ich aktiv bei virenbefall und zwar erfolgreich. die neugierde auf ein "überraschungsgeschenk" in der grösse von ein paar kb's ist halt leider oft grösser als die vernunft (mal unabhängig vom deaktivieren der oe-vorschau)...
dennoch hast du recht - künftig werde ich viren-warnungen um maßnahmen zur vorbeugung ergänzen, also danke für den rüffler ;-)
gruss und gute nacht, redschina
na dann weise doch mal "so richtig" darauf hin - hast du zwar gerade gemacht, aber m.e. nicht "dau-gerecht" ;-)
ich bin nicht der lehrmeister der nation, dafür helfe ich aktiv bei virenbefall und zwar erfolgreich. die neugierde auf ein "überraschungsgeschenk" in der grösse von ein paar kb's ist halt leider oft grösser als die vernunft (mal unabhängig vom deaktivieren der oe-vorschau)...
dennoch hast du recht - künftig werde ich viren-warnungen um maßnahmen zur vorbeugung ergänzen, also danke für den rüffler ;-)
gruss und gute nacht, redschina
Antwort 6 von Phantom_Fies
Ich find's gut & sinnvoll. Weiter so @Redschina!
Antwort 7 von Codeman
hoch damit
Antwort 8 von cille
gute infoseite:
url]http://www.bsi.de
[/url]
url]http://www.bsi.de
[/url]